Czy VPN mogą zostać złamane? Przyglądamy się temu bliżej
Co to jest VPN?
Wirtualna sieć prywatna (VPN) umożliwia utworzenie bezpiecznego tunelu wirtualnego przez Internet do innej sieci lub urządzenia. Jeśli korzystasz z internetu za pomocą tego wirtualnego tunelu, trudno jest komuś - , włącznie z Twoim usługodawcą internetowym - podejrzeć Twoją aktywność związaną z przeglądaniem.
VPNy umożliwiają także ukrycie Twojej lokalizacji w dowolnym miejscu na świecie i odblokowanie usług ograniczonych geograficznie. VPN chroni poufność (dane pozostaje tajne) i integralność (dane pozostają niezmienione) wiadomości, gdy podróżuje ona przez publiczny Internet.
Utworzenie jednego z tych bezpiecznych połączeń jest stosunkowo proste. Użytkownik najpierw łączy się z internetem za pośrednictwem dostawcy usług internetowych, a następnie inicjuje połączenie VPN z serwerem VPN przy użyciu klienta (zainstalowanego lokalnie). Serwer VPN pobiera żądane strony internetowe i zwraca je użytkownikowi za pośrednictwem bezpiecznego tunelu, zachowując w ten sposób dane użytkownika w pełni bezpieczne i prywatne.
Jak działa szyfrowanie VPN?
Protokół sieci VPN to uzgodniony zbiór zasad transmisji i szyfrowania danych. Większość dostawców VPN daje użytkownikom możliwość wyboru kilku protokołów VPN. Niektóre z najczęściej używanych protokołów obejmują: Point to Point Tunnelling Protocol (PPTP), Layer Two Tunnelling Protocol (L2TP), Internet Protocol Security (IPSec) oraz OpenVPN (SSL/TLS).
Aby w pełni zrozumieć, jak VPN chroni Twoją prywatność, musimy wgłębić się nieco w zagadnienie szyfrowania. VPN wykorzystuje technikę "szyfrowania", dzięki której czytelne dane (zwykły tekst) stają się całkowicie nieczytelne (tekst zaszyfrowany) dla osoby, która przechwytuje go podczas transmisji przez Internet. Algorytm lub szyfr decyduje o tym, jak proces szyfrowania i deszyfrowania jest realizowany w ramach protokołów VPN. Protokoły VPN korzystają z tych algorytmów kryptograficznych w celu ukrycia danych i zachowania poufności prywatnych działań podczas przeglądania.
Każdy z tych protokołów VPN ma swoje mocne i słabe strony w zależności od zastosowanego algorytmu kryptograficznego. Niektórzy dostawcy VPN oferują użytkownikom możliwość wyboru różnych rodzajów szyfrowania. Algorytm lub szyfr może być oparty na dowolnej z tych trzech klasyfikacji: algorytm symetryczny, asymetryczny i mieszający.
Symetryczne szyfrowanie wykorzystuje jeden klucz do zablokowania (szyfrowania) i do odblokowania (odszyfrowywania) danych. Szyfrowanie asymetryczne wykorzystuje dwa klucze, jeden do zablokowania (szyfrowania), a drugi do odblokowania (odszyfrowywania) danych. Poniższa tabela przedstawia porównanie między szyfrowaniem symetrycznym i asymetrycznym.
Atrybut | Symetryczne | Asymetryczne |
Klucze | Jeden klucz jest używany przez oba końce | Jeden koniec posiada klucz publiczny, drugi ma klucz prywatny |
Wymiana kluczy | Wymaga bezpiecznego mechanizmu wysyłania i odbierania kluczy | Klucz prywatny jest przechowywany w ukryciu przez właściciela, podczas gdy klucz publiczny jest dostępny dla wszystkich |
Prędkość | Niższy stopień komplikacji, wyższa prędkość | Wyższy stopień komplikacji, niższa prędkość |
Siła | Łatwiejszy do złamania | Trudniejszy do złamania |
Skalowalność | Dobra skalowalność | Lepsza skalowalność |
Wykorzystanie | Szyfrowanie zbiorcze, tzn. wszystkiego | Tylko dystrybucja kluczy i podpisy cyfrowe |
Oferowane usługi zabezpieczeń | Poufność | Poufność, uwierzytelnianie i niezaprzeczalność |
Przykłady | DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 oraz RC6 | RSA, ECC, DSA oraz Diffie-Hellman |
Asymetryczna kryptografia to rozwiązanie ograniczeń nieodłącznie związanych z kryptografią symetryczną (jak pokazano w powyższej tabeli). Whitfield Diffie i Martin Hellman byli jednymi z pierwszych, którzy podjęli działania w celu rozwiązania tych niedociągnięć, opracowując algorytm asymetryczny o nazwie Diffie-Hellman.
Jest to popularny algorytm kryptograficzny, który jest podstawą wielu protokołów VPN, w tym HTTPS, SSH, IPsec i OpenVPN. Algorytm pozwala obu stronom, które nigdy nie spotkały się wcześniej na ustalenie tajnego klucza, nawet gdy komunikują się przez niezabezpieczony kanał publiczny, na przykład Internet.
Zabezpieczenie mieszające jest szyfrowaniem jednokierunkowym (nieodwracalnym) używanym do ochrony integralności przesyłanych danych. Większość protokołów VPN korzysta z algorytmów mieszających w celu sprawdzenia autentyczności wiadomości wysyłanych za pośrednictwem sieci VPN. Przykłady obejmują MD5, SHA-1 i SHA-2. Zarówno MD5, jak i SHA-1 nie są już uważane za bezpieczne.
Sieci VPN mogą zostać złamane, ale jest to bardzo trudne. Szanse na włamanie bez VPN są jednak znacznie większe.
Czy ktoś może włamać się do VPN?
VPN jest jednym z najbardziej skutecznych sposobów zachowania prywatności w internecie . Niemniej jednak ważne jest, aby pamiętać, że prawie wszystkie zabezpieczenia mogą zostać złamane, zwłaszcza jeśli jest to cel o wysokiej wartości, a przeciwnik ma wystarczająco dużo czasu, funduszy i zasobów. Dobrą wiadomością jest to, że większość użytkowników nie zalicza się do kategorii "wysokiej wartości", dlatego też mało prawdopodobne jest ich wyróżnienie.
Hacking połączenia VPN polega na złamaniu szyfrowania przez wykorzystanie znanych luk lub kradzieży klucza za pomocą pewnych sposobów. Ataki kryptograficzne są wykorzystywane przez hakerów i kryptologów, aby odzyskać zwykłą wersję z jej zaszyfrowanej wersji bez użycia klucza. Jednak złamanie szyfrowania jest wymagające pod względem obliczeniowym i czasochłonne, a więc może to potrwać nawet wiele lat.
Większość wysiłków zwykle obejmuje kradzież kluczy, co jest dużo łatwiejsze niż złamanie szyfrowania. Tak robią zazwyczaj agencje szpiegowskie, gdy stoją w obliczu takich wyzwań. Ich sukces polega nie na matematyce, ale na kombinacji tricków technicznych, mocy obliczeniowej, oszustwach, nakazach sądowych i perswazji za kulisami (backdoor). Matematyka szyfrowania jest niezwykle silna i kompaktowo złożona.
Istniejące luki w zabezpieczeniach VPN i exploity
Wcześniejsze odkrycia opublikowane przez amerykanina Edwarda Snowdena i analityków wykazały, że agencja szpiegowska USA (NSA) złamała szyfrowanie potencjalnie ogromnej liczby internetowych usług, w tym także i VPN. Dokumenty ujawnione przez Snowdena wskazują, że infrastruktura deszyfrowania VPN firmy NSA obejmuje przechwytywanie zaszyfrowanego ruchu i przekazywanie niektórych danych do potężnych komputerów, które następnie zwracają klucz.
Analitycy bezpieczeństwa Alex Halderman i Nadia Heninger przedstawili także przekonujące badania sugerujące, że w rzeczywistości NSA uzyskała zdolność do odszyfrowania dużej liczby połączeń HTTPS, SSH i VPN w ataku zwanym Logjam na typowe implementacje algorytmu Diffie-Hellmana.
Ich sukces opierał się na wykorzystaniu słabości w implementacji algorytmu Diffie-Hellmana. Główną przyczyną tej słabości jest to, że oprogramowanie szyfrujące używa standaryzowanego numeru porządkowego w jego implementacji. Naukowcy oszacowali, że zbudowanie potężnego komputera, któremu uda się złamać pojedynczy 1024 bitowy klucz Diffie-Hellman Prime potrwa około roku i będzie kosztować kilka miliardów dolarów (co i tak mieści się w rocznym budżecie NSA).
Niestety stało się tak, że tylko kilka liczb pierwszych (mniejszych niż 1024 bitów) jest powszechnie stosowanych w aplikacjach do szyfrowania w czasie rzeczywistym, takich jak VPN - co czyni je łatwiejszym do złamania. Według Bruce'a Schneiera "matematyka jest dobra, ale matematyka nie ma agencji. Agencja ma kod, który został gruntownie zbadany".
Czy nadal należy korzystać z VPN?
Dla dostawców usług VPN zespół badaczy zaleca użycie kluczy Diffie-Hellmana o długości 2048 bitów lub więcej, a także opublikował przewodnik dotyczący jego wdrożenia dla TLS. IETF zaleca także użycie najnowszych wersji protokołów, które wymagają dłuższych liczb pierwszych.
Hackerzy mogą być w stanie złamać liczbę pierwotnie używaną w kluczach Diffie-Hellmana o długości do 1024 bitów (około 309 cyfr). Liczby pierwsze w kluczach 2048-bitowych będą dla nich prawdziwym bólem głowy, co oznacza, że nie będą w stanie odszyfrować danych zabezpieczonych przy użyciu tych kluczy przez bardzo długi czas.
I chociaż prawdą jest, że agencje szpiegowskie mają swoje sposoby na VPN i inne protokoły szyfrowania, które używane są do szyfrowania ruchu internetowego, to jednak dla użytkowników nadal jest to dużo lepsza ochrona, niż przesyłanie danych czystym tekstem. I chociaż do Twojego komputera nadal można się włamać, to odszyfrowanie danych kosztowałoby ich sporo czasu i pieniędzy - co dla nich będzie zazwyczaj niewarte zachodu. Im mniej oczywisty jesteś, tym będziesz bezpieczniejszy.
Według Edwarda Snowdena, "szyfrowanie działa. Właściwie zaimplementowane silne systemy kryptograficzne są jedną z niewielu rzeczy, na których można polegać". W miarę możliwości unikaj więc sieci VPN, które są oparte głównie na algorytmach mieszających MD5 lub SHA-1 oraz protokołach PPTP lub L2TP / IPSec. Wybierz te, które obsługują najnowsze wersje OpenVPN (uważane za niezwykle bezpieczne) i SHA-2. Jeśli nie masz pewności, którego algorytmu używa dany VPN, zapoznaj się z dokumentacją tego VPN lub skontaktuj się z pomocą techniczną.
VPN to Twój przyjaciel. Zaufaj szyfrowaniu, zaufaj matematyce. Zmaksymalizuj jego wykorzystanie i staraj się, aby Twój punkt końcowy był chroniony. W ten sposób można pozostać bezpiecznym nawet w obliczu ataku na szyfrowane połączenia.
Prosimy o sugestie, jak ulepszyć ten artykuł. Twoja opinia ma znaczenie!